1: 稼げる名無しさん 2019/07/24(水) 09:30:20.66 ID:cr5imX9N9
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
(略)
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
「オムニ7アプリ」のソースコードがGitHub上で公開されていた?
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさんは、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
(略)
削除直前の足跡から、このソースコードはGitHub上で2015年5月~7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
別のソースコードを日本の企業が削除した痕跡
オムニ7アプリ
オムニ7アプリ。現在もAppStoreなどで配信中だ。
撮影:7pay取材班
ソースコード漏洩の懸念については、別の気になる動きもあった。
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。またソースコードBに関連するアカウントには、ソースコードAのときと同様に“iからはじまる7文字のアカウント”も含まれる。
omni7_2
編集部が7月19日時点で保存したスクリーンショット。コミット者の名前として“iからはじまる7文字のアカウント”の人物も確認できる(モザイク処理をしています)。開発の初期段階のバージョンなのか、フォルダー構造などは異なる。
7pay取材班
ソースコードBにはその後、興味深い動きが起こる。
GitHub上で日本企業が、アメリカのデジタルミレニアム著作権法(DMCA)にからんだ申し立てをし、運営から受理され、その後削除にいたったのだ。そのログも公開されている。日付は現地時間の7月18日。
7pay_sourcecode-1
申し立て内容の要点をまとめると、
このソースコードの権利者は「Seven & i Net Media Co.,Ltd.」である
オリジナルのソースコードは7月11日に削除。しかし、そこからフォーク(複製)されたソースコードを発見した(ソースコードBのこと)
フォークされた「関連するソースコード」の権利者が我々であることは、以下「omniMbaas~~~」で始まる一連の4つのソースコードの権利表記で証明できる
DMCAテイクダウンの申請者はNTT DATA MSE社
というものになる。
https://www.businessinsider.jp/post-195187
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w640.jpg
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
こないだはパスワード無しで他人のアカウントにログインできる脆弱性が指摘された事に続いて、今度はソースコード漏洩の可能性かお。。。
とんでもない話ばかり出てくるお。
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
なぜこんなザル制作・管理になってしまったのか・・・。
理由が気になるな。
現在よく読まれているニュース!:
以下2chの反応と管理人の反応です
4: 稼げる名無しさん 2019/07/24(水) 09:31:12.73 ID:1ZWi0QBa0.net
作ったのNTT DATAかよ
5: 稼げる名無しさん 2019/07/24(水) 09:31:25.99 ID:Q52XfEbL0.net
everypay だな
7: 稼げる名無しさん 2019/07/24(水) 09:32:44.97 ID:eUNbx60c0.net
> 解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
俺でもできそう
俺でもできそう
10: 稼げる名無しさん 2019/07/24(水) 09:33:09.13 ID:wZv7YuKy0.net
損害賠償やばそう
11: 稼げる名無しさん 2019/07/24(水) 09:33:13.89 ID:1ZWi0QBa0.net
ソースコード流出してもセキュリティ的に影響ないように作れるはずなんだがな
12: 稼げる名無しさん 2019/07/24(水) 09:33:14.91 ID:Itkk0E/80.net
間違えて開発者が個人リポジトリにpushしちゃったとか?
17: 稼げる名無しさん 2019/07/24(水) 09:34:39.89 ID:lKkz4jJ00.net
ソースの秘匿で担保できるセキュリティーなんて大したことないけど。
43: 稼げる名無しさん 2019/07/24(水) 09:47:50.71 ID:FwroDJRD0.net
>>17
クライアント側アプリのソースコードか
サーバー側アプリのソースコードかにもよる
サーバー側アプリのソースコードで
暗号処理の秘密キーをソースにハードコードしてたらアウトだよ
クライアント側アプリのソースコードか
サーバー側アプリのソースコードかにもよる
サーバー側アプリのソースコードで
暗号処理の秘密キーをソースにハードコードしてたらアウトだよ
26: 稼げる名無しさん 2019/07/24(水) 09:39:10.06 ID:+BK3/33L0.net
そりゃ下請け下請けにやってりゃそうなるけど
36: 稼げる名無しさん 2019/07/24(水) 09:44:40.16 ID:rS/dBTko0.net
漏洩と言うか設定ミスやそれらを参考にしたのかもね
最近ソースを外部で管理して、社外と一緒に開発などもあるから
別にGitHub自体が悪い訳でもないし
この手の記事出るとGitHubに問題あるとして使用中止にする上層部もあるからね
最近ソースを外部で管理して、社外と一緒に開発などもあるから
別にGitHub自体が悪い訳でもないし
この手の記事出るとGitHubに問題あるとして使用中止にする上層部もあるからね
47: 稼げる名無しさん 2019/07/24(水) 09:48:45.16 ID:FpNe/lFW0.net
>>36
単に公開範囲の管理の問題なんだが
そういう会社もあるかもなw
単に公開範囲の管理の問題なんだが
そういう会社もあるかもなw
46: 稼げる名無しさん 2019/07/24(水) 09:48:24.36 ID:GGFBWAYe0.net
これはひどいヽ(´∀`)ノ
48: 稼げる名無しさん 2019/07/24(水) 09:49:20.74 ID:u1YC59VS0.net
MSEかよ。
あそこそこまで低質になってんのか。
あそこそこまで低質になってんのか。
49: 稼げる名無しさん 2019/07/24(水) 09:50:28.63 ID:GKv43Y9V0.net
リポジトリのprivate指定漏れはまあよくあるし、あっても大抵問題にされずこっそり連絡するだけだからなあ
54: 稼げる名無しさん 2019/07/24(水) 09:52:20.76 ID:VcmCErU70.net
相当お粗末なアプリなんだろうなって印象だったから
これ聞いても驚きがない
これ聞いても驚きがない
57: 稼げる名無しさん 2019/07/24(水) 09:53:22.85 ID:V5tAizlg0.net
ヤフー知恵袋でもセキュリティ開発の相談してそう
61: 稼げる名無しさん 2019/07/24(水) 09:57:43.02 ID:DbZdeLWO0.net
そりゃオープンで穴がないってのが一番いいんだけどさあw
64: 稼げる名無しさん 2019/07/24(水) 09:58:00.14 ID:M7OaeGIf0.net
俺の使ってる銀行のビジネス用ネットバンクがNTT DATAでdirectX迄使ってて不安要素しか無くなってきたがな
73: 稼げる名無しさん 2019/07/24(水) 10:01:28.98 ID:UZyJQ8Km0.net
>7月11日に削除
いい気分
いい気分
245: 稼げる名無しさん 2019/07/24(水) 11:25:39.22 ID:XGCrYDUi0.net
>>73
なにもその日に火に油注がんでもwww
なにもその日に火に油注がんでもwww
77: 稼げる名無しさん 2019/07/24(水) 10:03:21.63 ID:ITjU+7yO0.net
いったいなんだったんだ?7pay!
91: 稼げる名無しさん 2019/07/24(水) 10:08:53.96 ID:rH7Ua5430.net
データの子会社か
やっちまったな
やっちまったな
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
わかばちゃんと学ぶ Git使い方入門〈GitHub、Bitbucket、SourceTree〉
現在よく読まれている記事:
引用元:ai.2ch.sc/test/read.cgi/newsplus/1563928220/
コメント
コメント一覧 (10)
money_soku
が
しました
こうなっては自社だけでは厳しいやろ
money_soku
が
しました
開発ケチったなセブンイレブン
money_soku
が
しました
データ本体ならセキュリティうるさいからプライベートリポジトリにしてたと思うけど、デー子がゆるいのか
money_soku
が
しました
money_soku
が
しました
それ面白いねww
情報系の夏休みで暇な大学生とかもいるだろうし、人海戦術で潰すのが一番早いよな
money_soku
が
しました
プレゼンの達者な池面美女のエスイーが設計(丸投げ)するんだから
※3
D△T△ならそれなりの金を出してる
money_soku
が
しました
money_soku
が
しました
money_soku
が
しました
money_soku
が
しました
コメントする